SPF, DKIM ve DMARC KAYITLARI
E-posta sistemlerinin tasarımında, zaten yaygın bir şekilde kullanımda olan bir teknolojiyle uyumlu olmayı sağlamak zorunluluğu, güvenlik önlemlerinin sonradan eklenmesini zorlaştırır.
Bu durumda, SPF, DKIM ve DMARC gibi temel güvenlik standartlarının önemi ortaya çıkar.
1965 yılında MIT’de ilk e-posta alışverişleri yapıldığında, güvenlik endişesi taşınmıyordu; zira tüm sistemler aynı merkezi bilgisayarda yer alıyordu (ve bu bilgisayar bir klimalı odada özenle korunuyordu). SMTP protokolü ise 1982 yılında, siber güvenliğin henüz göz önünde bulundurulmadığı bir dönemde geliştirildi. Kimlik doğrulama, mahremiyet, veri bütünlüğü denetimi ve spam koruması gibi özellikler mevcut değildi. O dönemler daha sadeydi. Ancak e-postanın popülerliği arttıkça, güvenlik zafiyetleri ve sorunları hızla belirginleşti.
E-posta güvenliğini artırmak için yapılan çalışmalar neticesinde, SPF, DKIM ve DMARC gibi eklemeler yapılmıştır. Bunlar kusursuz çözümler olmasa da, güvenlik açısından büyük önem taşırlar. Bu yazımızda SPF, DKIM ve DMARC kayıtları nedir, ne işe yarar ve nasıl yapılır konularını derinlemesine inceleyeceğiz.
E-posta Kimlik Doğrulama Standartları
E-posta Kimlik Doğrulama Standartları şunlardır: SMTP, e-posta dolandırıcılığı, kimlik avı ve spam gibi tehlikelere karşı koruma sağlayamaz çünkü bir e-postanın kaynağını doğrulayacak veya alan adını onaylayacak bir mekanizmaya sahip değildir. Bu görevi e-posta kimlik doğrulama işlemleri üstlenir.
E-postaların kimlik doğrulaması için genel olarak kabul görmüş üç ana standart bulunmaktadır: SPF, DKIM ve DMARC. Özetle, her biri şu işlevleri yerine getirir:
- SPF, bir e-postanın gönderildiği IP adresinin yetkilendirilmiş olup olmadığını denetler.
- DKIM, mesajın doğrulanması için dijital anahtarları kullanır.
- DMARC ise SPF ve DKIM’in sağladığı doğrulama yöntemlerini bir araya getirir.
Teknik uygulamaları birbirinden farklı olsa da, SPF, DKIM ve DMARC hepsi DNS kayıtlarını kullanır.
SPF Kaydı
SPF, sizin sunucunuzun, alan adınız için listelenen IP adreslerinden e-posta gönderme yetkisine sahip olduğunu doğrulayan bir standarttır. Bu standardın nasıl uygulanacağına ilişkin daha ayrıntılı bilgiyi aşağıda bulabilirsiniz.
SPF Kaydı Nedir ve İşe Yarar?
SPF, yani Gönderen Politikası Çerçevesi, sahtecilik ve spam olarak bilinen istenmeyen e-postaların tespiti amacıyla geliştirilmiş bir e-posta kimlik doğrulama sistemidir. Bu sistem, yetkili e-posta sunucularından gönderilen mesajların doğrulanmasını sağlayan işlemleri kapsar. SPF politikası oluşturarak, kötü niyetli bireylerin şirketiniz adına sahte e-postalar göndermesini önleyebilirsiniz. Kurulumu basit ve görece risk taşımayan bu yöntemde, şirketinizin e-posta gönderimi için kullanılan IP adreslerini listelemek yeterlidir; bu, sağlanan avantaj düşünüldüğünde gösterilen çabanın değerini ortaya koyar. Ancak, SPF tam anlamıyla kusursuz bir aldatma önleme yöntemi değildir, fakat var olmamasından iyidir.
SPF Kaydı Nasıl Yapılır?
SPF kaydı oluşturmak için aşağıdaki adımları takip edebilirsiniz:
1. Yetkili E-posta Sunucularını Tanımlama
E-posta gönderme yetkisine sahip olan e-posta sunucularının IP adreslerini veya host adlarını tespit edin. Bu, işletmenizin kendi e-posta sunucularını veya kullandığınız üçüncü parti e-posta servis sağlayıcılarını kapsayabilir.
2. SPF Politikanızı Oluşturma
Bu alan adınız adına e-posta gönderme izni verilen sunucuları tanımlar. Belirli sunuculara izin verme veya IP adresleri veya host adlarına göre bir dizi sunucuyu dahil etme seçeneğiniz vardır.
3. SPF Kaydı Formatını Belirleme
SPF kayıtları, alan adınızın DNS’inde bir TXT kaydı olarak yer alır. Kayıt, belirli bir formatı takip etmeli ve gerekli tüm bilgileri barındırmalıdır.
4. SPF Kaydını DNS’ye Ekleme
Genelde, alan adınızın DNS yönetim paneline, alan adı kayıt şirketiniz veya hosting sağlayıcınız üzerinden erişebilirsiniz. Alan adınızın DNS ayarlarına gidin ve yeni bir TXT kaydı olarak SPF kaydınızı ekleyin. Host adı olarak genellikle “@” kullanılır ki bu da alan adınızı temsil eder ve SPF kaydını değer kısmına yapıştırın.
DKIM Kaydı
DKIM bir e-posta mesajına sistem tarafından otomatik olarak eklenen dijital bir imza ile çalışan bir standarttır. Bu sayede, alıcı e-posta sunucusu, gelen mesajın ilgili alan adı tarafından onaylandığını ve içeriğinin orijinal olduğunu doğrulayabilir. E-posta dolandırıcılığına ve güvenlik sorunlarına karşı kullanılan bu dijital imza yöntemi, sunucuların mesajların imzalarını denetlemesini gerektirir. DKIM kaydı hakkında geniş bilgileri aşağıda paylaştık.
DKIM Kaydı Nedir ve İşe Yarar?
DKIM yani Domain Anahtarlarıyla Tanımlanmış E-Posta, e-posta mesajlarını dijital kriptografik imzalarla donatan bir e-posta doğrulama sistemidir. DKIM’in kurulumu SPF’ye kıyasla biraz daha zorlayıcı olabilir, fakat son derece güvenilirdir. Yanlış yapılandırma durumunda bile, e-postalar kaybolmaz. DKIM, bir e-postanın içeriğinin değiştirilip değiştirilmediğini veya bozulup bozulmadığını anlamak için e-postanın elektronik imzasını denetler. Eğer imza doğruysa, e-posta içeriğinin güvenilir olduğunu anlayabilirsiniz. Bu imza, kullanıcı müdahalesi olmaksızın posta sunucuları tarafından otomatik olarak eklenir ve doğrulanır. Bununla birlikte, DKIM yine de kimlik avı sorunlarını tam anlamıyla çözemez.
DKIM Kaydı Nasıl Yapılır?
DKIM kaydını e-posta hizmetinize entegre etmek, kullanılan servise göre değişiklik gösterebilir. Ancak genel olarak takip edilmesi gereken adımlar şunlardır:
1. Anahtarınızı Oluşturun
Birden fazla posta sunucusuna sahip bir alan adının, her bir sunucu için özel anahtarlarına uygun birden fazla genel anahtarı bulunabilir. Seçici, alıcının e-posta sunucusunun, gönderenin DNS’inden doğru genel anahtarı bulmasına yardımcı olan bir DKIM imzası özelliğidir.
2. Özel ve Genel Anahtar Çifti Üretin
Bu adımda, işletim sisteminize uygun bir araç kullanmanız gerekir. SSH Keygen, Linux ve Mac işletim sistemleri için mükemmel bir seçenektir. Windows kullanıcıları ise PuTTY kullanarak anahtar çifti oluşturabilirler.
3. DKIM Kaydınızı Alan Adınıza Ekleyin
Genel anahtarınızı elde ettikten sonra, bunu DNS kayıtlarınıza uygun bir şekilde eklemeniz gerekmektedir. Bu işlem, hosting sağlayıcınıza bağlı olarak farklı adımlar içerebilir.
DMARC Kaydı
DMARC, yani Alan Adına Dayalı İleti Doğrulama, Raporlama ve Uygunluk sahtecilik, kimlik avı ve spam e-postaların tespiti için geliştirilmiş başka bir DNS kayıt standardıdır.
Gmail, Yandex, Yahoo gibi yaygın e-posta servis sağlayıcıları, alan adınız altında ne kadar spam e-posta üretildiğine dair raporlar hazırlar ve bu raporları alıcılara sunar. Bu tür raporlar, e-posta itibarınız için önemlidir. DMARC kaydı sayesinde, alan adınıza ait olmayan yetkisiz spoofing veya spam e-posta gönderimi engellenir. DMARC kaydı hakkında ayrıntılı bilgileri aşağıda derledik.
DMARC Kaydı Nedir ve İşe Yarar?
DMARC açılmış adıyla Alan Adına Dayalı Mesaj Doğrulama, Raporlama ve Uyum, sahte e-posta gönderimlerini, Phishing (oltalama) saldırılarını ve Spam içerikleri engellemek için tasarlanmış bir DNS TXT kaydıdır. DMARC, alıcının gördüğü gönderen adresinin, SPF veya DKIM ile belirlenen adresle uyumlu olup olmadığını denetleyen bir politikadır. E-postalar, ilgili etki alanının yetkilendirdiği bir IP adresinden gönderilmeli (SPF doğruysa) ya da etki alanının geçerli bir dijital imzasıyla onaylanmalıdır (DKIM imzası geçerliyse). Bu şartlar sağlanmadığı takdirde, e-posta iletilemez. DMARC ayarları, e-posta yöneticisi tarafından gönderen etki alanı için yapılandırılır. Kimlik hırsızlığı ve sahteciliğe karşı etkili bir koruma sağlamakla birlikte, bu yapılandırma süreci karmaşık olabilir ve hatalar, e-postaların kaybolmasına neden olabilir.
DMARC Kaydı Nasıl Yapılır?
DMARC kaydınızı hazırlamak için aşağıdaki adımları takip edebilirsiniz. Bu işlem, e-posta güvenliğinizi artırmak için önemli bir adımdır ve dikkatlice uygulamalısınız:
1. Politika Seçimi
İlk olarak, DMARC politikanızı seçmelisiniz. “none”, “quarantine” veya “reject” olmak üzere üç seviyeden birini tercih etmeniz gerekmektedir.
2. DNS Kaydı Yaratma
Alan adınızın DNS yönetim paneline erişin ve “_dmarc” isminde bir TXT kaydı oluşturun. Örnek olarak, _dmarc.example.com kullanabilirsiniz.
3. TXT Kaydını Konfigüre Etme
Hazırladığınız TXT kaydına, DMARC politikanızı ve diğer gerekli ayarları ekleyin. Örneğin: v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-forensics@example.com; fo=1; adkim=r; aspf=r;
4. Kaydı Yayınlama
Bu örnekteki kayıt, v’nin DMARC sürümünü, p’nin politika düzeyini, rua’nın raporlama için e-posta adresini, ruf’un hata raporlaması için e-posta adresini ve diğer parametreleri ifade eder. Değişikliklerinizi kaydederek DNS sunucularınızda kaydı aktif hale getirin.
SPF, DKIM ve DMARC’ın uygulanması, e-posta güvenlik zafiyetlerinin tamamını ortadan kaldırmayabilir, ancak e-posta trafiğinizi daha güvenli ve emniyetli kılar. E-posta güvenliğinde kapsamlı koruma elde etmek, tüm konfigürasyonları hatasız bir şekilde gerçekleştirmek ve siber güvenlik risklerinden arınmak adına, kurumsal çözümler arasında öne çıkan firmaların ürünlerini bedelsiz test edebilirsiniz. Bilgi Güvenliği uzmanlarıyla irtibata geçip, ücretsiz sunulan E-posta Güvenlik Testi’nin firmanız ya da kuruluşunuz için yapılmasını isteyebilirsiniz.